资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Polymarket 最新安全事件损失扩大至约 310 万美元
据区块链情报公司 AMLBot 更新估算,Polymarket 此前发生的安全事件造成的损失已升至约 310 万美元。
事件摘要
Polymarket 的前端钓鱼攻击目前已涉及 11 个用户钱包,损失达 310 万美元。平台方面表示,一个受感染的第三方供应商在其部分前端代码中注入了恶意脚本。
此次退款承诺发布之际,立法者正就涉嫌欺骗性的预测市场广告行为向监管机构施压。
此前,该预测市场平台曾表示,由于第三方供应商被入侵,恶意代码通过其前端传入了部分用户,并承诺将对此类用户进行全额退款。
黑客损失升至 310 万美元
AMLBot 指出,黑客从 11 个用户钱包中窃取了约 310 万 PUSD。该公司表示,这些资金最初存放在 Polygon 链上,随后被迅速跨链转移至以太坊。
Polymarket 遭遇攻击:用户钱包中的约 310 万 PUSD 在 Polygon 链上因钓鱼攻击/恶意 EIP-7702 授权执行而被盗取。资金经 Relay 兑换为 USDC.e,随后跨链至以太坊,兑换为 ETH,并最终归集至单一地址。
这一更新将损失金额从此前约 294 万美元的初步估算水平进一步抬高。安全机构 Specter Analyst 此前已将该事件标记为一次钓鱼攻击,至少 11 个持有 PUSD 的钱包受到影响。
Polymarket 在 6 月 25 日的一篇帖子中表示,发现第三方供应商遭到入侵。公司称,该供应商的问题导致攻击者能够针对部分用户,在平台前端注入恶意脚本。平台表示:「我们已经控制住局面,并移除了受影响的依赖项。」同时,平台也在联系受影响用户,并「全额退款」。
前端攻击瞄准用户钱包
此次攻击似乎是通过网站界面(而非核心协议)针对用户。这类攻击方式会诱使用户在认为自己正常使用平台时,批准有害的钱包操作。
安全机构 PeckShield 表示,攻击者将被盗资金从 Polygon 跨链至以太坊,并兑换为约 1893 枚 ETH。Specter 也指出,在钓鱼活动后,资金被归集至一个以太坊地址。
前端攻击对于用户而言很难实时察觉。网站可能看起来一切正常,但浏览器中加载的代码却可能生成不安全的钱包授权提示。该事件也凸显了第三方依赖带来的风险。即使平台的智能合约本身没有变化,网站上使用的外部代码仍可能给连接钱包的用户带来风险。
此前发生的安全事件加剧压力
此次事件是 Polymarket 近期一系列安全问题中的最新一起。今年 3 月,区块链调查员 ZachXBT 曾标记一起疑似入侵事件,当时有两个 Polygon 智能合约被窃取超过 52 万美元。Polymarket 后来表示,那次事件中资金安全。
去年 12 月,该平台的 Discord 频道也确认了一起事件,当时有用户报告资金丢失并出现可疑登录尝试。此前有报道称,本次攻击被 DefiLlama 列为第二季度第 89 起加密货币安全漏洞。同一份报告指出,这一数量使该季度成为有记录以来报告事件数最多的一个季度。
不断上升的事件数量表明,平台现在面临着对智能合约、钱包、登录系统、前端代码以及外部供应商进行更严格审查的压力。
监管关注范围扩大
这次黑客事件恰逢 Polymarket 面临新的监管关注。近期有报道称,美国参议员 Adam Schiff 和 John Curtis 敦促美国商品期货交易委员会(CFTC)审查与涉嫌欺骗性广告行为相关的指控。
参议员们质疑 Polymarket 是否通过模拟交易网站、虚构交易以及未公开的付费影响力营销活动来推广其市场。他们还追问 CFTC 是否拥有足够的工具来监管预测市场并保护用户。
Polymarket 和 Kalshi 还卷入了一场围绕体育赛事合约的更大法律纠纷。肯塔基州曾指控这些预测市场公司提供未经许可的体育博彩,而 CFTC 则主张联邦监管的赛事合约属于其管辖范围。正如先前报道,这些案件可能会决定与体育相关的预测市场主要受联邦衍生品规则还是州赌博法管辖。
